CVE-2024-32462 in Flatpak
Riassunto
di VulDB • 12/07/2026
Flatpak è un sistema per la creazione, distribuzione ed esecuzione di applicazioni desktop sandboxate su Linux. Nelle versioni precedenti alla 1.10.9, 1.12.9, 1.14.6 e 1.15.8, un'app Flatpak malevola o compromessa potrebbe eseguire codice arbitrario al di fuori della propria sandbox. Normalmente, l'argomento `--command` di `flatpak run` si aspetta che gli venga fornito un comando da eseguire all'interno dell'applicazione Flatpak specificata, eventualmente insieme ad alcuni argomenti. Tuttavia, è possibile passare invece degli argomenti a `bwrap` tramite `--command=`, come ad esempio `--bind`. È possibile passare una riga di comando arbitraria (`commandline`) all'interfaccia del portale `org.freedesktop.portal.Background.RequestBackground` dall'interno di un'app Flatpak. Quando questa viene convertita in un argomento `--command` e relativi parametri, si ottiene lo stesso effetto del passaggio diretto degli argomenti a `bwrap`, consentendo così una fuga dalla sandbox (sandbox escape). La soluzione consiste nel passare l'argomento `--` a `bwrap`, il quale interrompe quindi l'elaborazione delle opzioni. Questa funzionalità è supportata da bubblewrap 0.3.0 in poi. Tutte le versioni supportate di Flatpak richiedono almeno tale versione di bubblewrap. xdg-desktop-portal nella versione 1.18.4 mitigerebbe questa vulnerabilità consentendo alle app Flatpak di creare file .desktop solo per comandi che non iniziano con `--`. La vulnerabilità è stata risolta nelle versioni 1.15.8, 1.10.9, 1.12.9 e 1.14.6.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.